L’AI Act sarà una direttiva mascherata. Dialogo con Pollicino (Bocconi)

Oreste Pollicino è ordinario di Diritto costituzionale all’Università Bocconi, ma insegna anche diritto dell’informazione, di internet ed è esperto di privacy e nuove tecnologie. In questa conversazione abbiamo affrontato il mare normativo che separa Stati Uniti ed Europa sull’Intelligenza artificiale (e non solo). A partire dai principi fondamentali e arrivando alle criticità dell’AI Act, il regolamento che dovrà regolare la materia in Europa e, sperano a Bruxelles, pure nel resto del mondo.

 Professore, lei in questo momento ha una gamba in Europa e una negli Stati Uniti. Se qui ha lavorato come consulente e come ricercatore per diverse istituzioni che provano a scrivere regole e principi sulle nostre vite digitali (e dunque sulle nostre vite tout court), a breve si trasferirà negli Stati Uniti per capire come gli americani intendono regolare l’Intelligenza artificiale. Ma la vogliono regolare?

Provo a guardare la questione dai due punti di vista. Quello europeo, perché sono rappresentante italiano di una non così conosciuta istituzione comunitaria che si chiama Agenzia europea per i diritti fondamentali, ha sede a Vienna, e un mandato importante: quello di tutelare e promuovere i diritti fondamentali in Europa prima che si arrivi al contenzioso. Con alcuni colleghi ho curato dei report proprio sulla protezione dei diritti nel campo digitale, uno in particolare sui rischi e le opportunità (che dilemma abusato!) dell’Intelligenza artificiale.

Noi europei siamo molto attenti alle possibili compressioni o lesioni dei diritti fondamentali, tra tutti quello alla privacy. Gli americani privilegiano la libertà di impresa e il diritto di espressione.

Cercherò di capire come conciliare questi due approcci nel mio anno accademico da Fulbright scholar e fellow alla New York University, per il quale prenderò un anno di sabbatico dalla Bocconi. Riusciremo a non essere lost in translation su una questione centrale come l’IA? È una tecnologia globale, difficilmente contenibile all’interno di confini nazionali o regionali. A parte il caso della Cina che è fuori dall’ombrello della rule of law, lo stato di diritto delle democrazie liberali. Ma anche tra queste, come diceva lei, ci sono sensibilità e sfumature molto diverse rispetto ai valori in gioco.

Negli Stati Uniti pochi principi reggono ai colpi del tempo, delle leggi e delle corti come il Primo Emendamento, il free speech. L’esempio dei libri di diritto è quello di qualcuno che si mette a gridare “al fuoco! Al fuoco!” in un teatro gremito, sapendo che non c’è nessun incendio, con l’obiettivo di creare caos, feriti e morti. Oggi è un caso di scuola, ma non lo era a cavallo tra 1800 e 1900 quando i teatri erano fatti di legno e finivano spesso in cenere. Ecco, chi mente, sapendo di mentire, e in più genera disordini sociali e scatena reati, potrebbe essere sanzionato. Per il resto, grande libertà.

Tanto che uno come Alex Jones di Infowars ha potuto per anni diffondere la teoria del complotto sulla tremenda strage di Sandy Hook, portando alla persecuzione dei genitori di bimbi uccisi in una sparatoria scolastica, senza che nessuno abbia potuto censurare le sue parole. Finché nelle cause civili intentate dai familiari delle vittime, Jones non è stato condannato a risarcire centinaia di milioni di dollari, portandolo alla bancarotta e alla chiusura delle sue testate. Come si concilia questo principio di controllo ex post con una tecnologia veloce come l’IA? Capace, ed è già successo, di rovinare la reputazione di qualcuno in pochi secondi? O, in prospettiva, di manipolare i processi politici e democratici? Si può investire un’autorità di un controllo preventivo o immediato?

Lei fa emergere un metodo, quello di partire dalle categorie tradizionali del costituzionalismo, tutt’ora vive e vegete nonostante il Primo Emendamento sia stato codificato nel 1791. Dobbiamo ricordare che negli Usa vale il principio del free marketplace of ideas, il libero mercato delle idee. Qualsiasi idea o opinione ha lo stesso diritto di “giocarsela” con le altre, anche un’idea basata su una falsità, poi sarà lo scontro con idee migliori a decidere chi avrà il sopravvento. Questo deriva, semplificando molto, dà due parole chiavi che in realtà non sono sinonimi. Liberty e Freedom. Libertà ed emancipazione dei pionieri americani non solo dalla Madrepatria, ma anche da qualsiasi tipo di vincolo.

All’opposto, in Europa, questo mercato delle idee non è facile da trapiantare, sarebbe un innesto molto difficile, e su questo punto mi sono scontrato con i colleghi dell’High level expert group della Commissione europea su fake news e disinformazione, che nel 2018 ha prodotto la prima strategia europea su questi temi. Importare questo tipo di approccio vuol dire credere nella auto-regolamentazione degli attori privati come unica strada possibile. Questo ha portato in passato a un livello di tutela contro la disinformazione che è stato assolutamente non soddisfacente, tanto che l’anno scorso ho coordinato un gruppo di lavoro che ha presentato alla Commissione europea un nuovo codice di condotta contro la disinformazione. Lo cito non tanto perché ci ho lavorato ma perché è frutto di quell’idea di non accettare una politica del diritto che non è confacente ai valori europei. Da queste parti la libertà di espressione non è su un piano superiore, ma se la deve vedere con le altre libertà, e soprattutto esiste il concetto di abuso del diritto. Qui un caso come quello di Alex Jones sarebbe considerato abuso della libertà di parola e non sarebbe consentito. E arriviamo al valore cruciale dell’ordinamento europeo: la dignità delle persone (non solo la libertà).

Ma si può fare una “legge della verità”, uno strumento in grado di stabilire cosa è credibile e cosa invece va censurato?

L’idea di una regolamentazione europea funziona, ma non può essere una hard law, perché manca la base giuridica. Serve dunque un meccanismo di inclusione pubblico-privato in cui ci sia anche la Commissione europea a fare da cane da guardia. Tornando all’Intelligenza artificiale, questi sistemi amplificano di molto il rischio di disinformazione, e al momento non c’è un vero rimedio: a quei livelli di propagazione globale si arriva a un punto di non ritorno, nessun giudice potrebbe ripristinare lo stato delle cose prima della diffusione di un testo, un’immagine, un video che contiene falsità o contenuti dannosi. Qui si parla di reputazione e di tutti gli altri valori in gioco, a cominciare da quello cruciale della tutela dei minori.

Negli Usa sono quasi trent’anni, dalla Section 230 del 1996, che non si riesce a fare delle nuove regole sul mondo digitale. La questione resta la stessa: le piattaforme sono responsabili dei contenuti che gli utenti ci caricano sopra? (la legge americana ha stabilito di no). Ma fino a che punto sono obbligate a intervenire davanti alle violazioni e chi decide cosa è lecito e cosa no? Come conciliare privacy, antitrust e libertà di espressione? A Washington una risposta non l’hanno ancora trovata, e per molti questa non-regolazione è la chiave del successo delle società americane.

L’Europa invece è andata avanti, con due regolamenti: il Digital Services Act e ora l’AI Act. Il primo sarà applicabile da febbraio 2024, l’altro è in mano al trilogo, cioè Parlamento, Commissione e Consiglio, dopo il voto a Strasburgo su un testo già piuttosto avanzato. I promotori di questo regolamento sperano che, oltre ad applicarsi in tutto il territorio dell’Unione, sarà efficace anche all’estero, grazie al cosiddetto Brussels effect che spinge ordinamenti diversi a uniformarsi alle nostre regole per continuare ad avere accesso a un mercato appetibile di 450 milioni di persone. Lei ci crede?

Partiamo dalla Section 230, che nasce negli anni in cui Internet doveva svilupparsi, soprattutto dal punto di vista commerciale, e serviva uno strumento che “togliesse di mezzo” qualsiasi ostacolo alla sua crescita rapidissima. Non è un caso che sia stata copiata, con alcuni aggiustamenti, dalla Direttiva europea sull’e-commerce del 2000. Il Dsa crea dei meccanismi che non sono una vera responsabilità editoriale delle piattaforme, ma consentono di tutelare gli utenti. Nella gigantesca asimmetria tra gli utenti e queste grandi società, introduce una dimensione procedimentale, dalla trasparenza al diritto di conoscenza al diritto di reclamo fino a un contraddittorio effettivo.

Con l’AI Act c’è un’accelerazione ambiziosa, non direi utopistica, di regolamentare non una tecnologia, ma un ecosistema, cosa molto più difficile. Il tentativo di incorniciare, o se vogliamo fotografare, un meccanismo che per forza di cose tende a cambiare molto rapidamente.

Però se uno scatta una foto a una cosa in movimento, poi quando guardi l’immagine non corrisponderà più alla realtà. Tanto che a marzo hanno dovuto modificare di corsa la bozza di regolamento perché non teneva abbastanza conto della potenzialità enorme dei chatbot che, pur esistendo da anni, hanno avuto uno sviluppo vertiginoso con ChatGpt.  

Il tentativo di adeguarsi all’ultimo sviluppo di una tecnologia emergente non può che essere fallimentare. È ovvio che tra due mesi avremo nuovi modelli e dunque nuove esigenze di riscrittura della normativa, che sarà obsoleta. Per questo dobbiamo guardare alle bussole. Non la normativa secondaria come l’AI Act, ma le nostre carte dei diritti, a partire dalla Carta dei diritti fondamentali dell’Unione europea, la Convenzione europea dei diritti dell’Uomo e le carte costituzionali. Non voglio sembrare immobilista, ma attenzione a non concentrarci sul dettaglio di una normativa in grado di essere tecnologicamente orientata. Quello è compito dei giudici.

A proposito di questo, un comitato istituito dal Consiglio d’Europa sta scrivendo una Convenzione sullo sviluppo, il disegno e l’applicazione dei sistemi di Intelligenza artificiale. Grandi principi e non micro-regolazione. Approccio simile quello del governo britannico, che con il libro bianco pubblicato a fine marzo promette un “approccio pro-innovazione” e di non fare mai una hard law sul settore, argomentando che un chatbot di un negozio online di vestiti non può avere le stesse regole di un complesso sistema bio-medicale che supervisiona un’operazione oncologica. Ovviamente è anche un modo per attrarre aziende dicendo loro “noi non vi soffocheremo con le norme come fanno i nostri ex partner dell’Unione europea”.

Ecco, credo che sia soprattutto una questione di riposizionamento del Regno Unito che in questo momento è (masochisticamente) fuori dai giochi e può interpretare solo il ruolo di portavoce americano nella dimensione europea. Parlando del Consiglio d’Europa, ho fatto parte di quel comitato ad hoc e ci credo molto. Credo in una dimensione antropocentrica che riscopre i valori fondamentali senza inseguire la normativa di dettaglio. Anche perché l’AI Act, come il Gdpr, è un regolamento, direttamente applicabile, ma in realtà si tratta di una direttiva mascherata. Perché ha una serie di clausole aperte (e non può che essere così) lasciate al margine discrezionale degli Stati membri. Come e più del Gdpr rischia di creare una frammentazione all’interno dell’Unione, che è esattamente l’opposto rispetto all’obiettivo. Vedrà che ci saranno scelte strategiche diverse tra Italia e paesi scandinavi. Per non parlare del modello tedesco e francese…

Quindi ci saranno tanti AI Act quanti sono i Paesi (o quantomeno i modelli) europei?

Parliamo della migrazione delle idee costituzionali. Il Brussels effect ha funzionato con il Gdpr? Più o meno sì, l’idea è stata quella di un modello “spintaneamente” preso come guida da molti altri Paesi. Ma la Corte di Giustizia dell’Ue stabilisce, in una sentenza meno conosciuta, un principio molto importante nel diritto all’oblio: l’ideale sarebbe una rimozione di carattere globale delle informazioni che il soggetto vuole vedere cancellate, ma non possiamo farlo perché dobbiamo avere rispetto dei valori e delle culture di singoli ordinamenti che possono essere diversi da quelli dell’Unione europea. Se questo è vero per il Gdpr e la privacy, è ancora più vero per l’IA. Perché qui non stiamo esportando un diritto fondamentale come quello della privacy, ma un meccanismo di politica del diritto, di gestione del rischio totalmente top-down, con una griglia dettata dalla Commissione che non è detto sia vincente o ben accetto da altri ordinamenti.

A chi si applicherà il nuovo regolamento?

Per il Gdpr è abbastanza semplice: tutti i soggetti che erogano servizi in Europa. Ma per l’IA come si delimita il campo di applicazione? Una nuova bozza, che è emersa dal trilogo di questi giorni, sembra parlare di output, cioè quello che viene prodotto dall’IA. Se viene usato anche in Europa, allora è l’elemento per attrarre l’applicazione della normativa. Ma così ci avviciniamo a un’applicazione universale. E invece sarebbe fondamentale in questo momento stabilire la portata del nuovo regolamento.

Per trovare un accordo tra Usa e Ue sui questi temi ci sono dei forum di discussione come il Trade and Technology Council, che si è riunito in Svezia a fine maggio. Ma ci sono due grossi scogli, i tempi e il potere negoziale, di cui mi ha parlato un esperto di questi negoziati. Prendiamo l’Intelligenza artificiale. Due anni fa i rappresentanti del governo americano chiedono agli europei di discuterne, ma per questi ultimi la materia è troppo embrionale: la proposta di AI Act è stata appena lanciata, mancano troppi passaggi politici e burocratici per affrontarla. Due mesi fa, dopo il voto del Parlamento di Strasburgo, la delegazione Usa ripete la domanda: ora siete pronti a trovare una strada comune con noi? E da Bruxelles non possono che rispondere (in soldoni) “grazie ma non possiamo riaprire il processo, già è stato difficile mettere d’accordo 27 membri del Consiglio, centinaia di parlamentari appartenenti a decine di partiti, commissari e relativi gabinetti, ci manca solo di rimettere tutto in discussione”.

Quindi c’è anche un problema di potere negoziale. Quando si presenta a un tavolo, uno dovrebbe avere la titolarità del diritto su cui fa una trattativa. E in questo momento manca da entrambe le parti: gli europei sono vittime di questa procedura complessa, gli americani scontano un’amministrazione che non ha il controllo del Congresso e che deve risolvere le questioni transatlantiche con executive orders, come nel caso dell’adeguatezza del Privacy Framework. E poi c’è la Corte di Giustizia Ue, che come nei casi Schrems I e II ha ribaltato le decisioni della Commissione, creando ancora più incertezza sull’effettività delle decisioni europee. Come si riusciranno ad avvicinare le due parti sull’IA?

C’è un problema europeo preliminare, che va risolto prima di trovare la soluzione transatlantica: chi ha l’ultima parola? Che la Corte debba ascoltare sia la Commissione sia i ricorrenti è fisiologico. Ma questa fisiologia è diventata patologia a proposito della protezione dei dati. Un periodo di limbo prima del Gdpr in cui la Corte ha vestito i panni del legislatore, in mancanza di azione a Bruxelles. Con le sentenze Google Spain, Digital Rights, Schrems I, si è inventata da zero una serie di norme. In maniera lodevole, ma per forza frammentaria, visto che i casi erano diversi e non certo universali. Adesso da una parte c’è una ipertrofia legislativa, con le istituzioni che si sono rimesse a scrivere (tante) leggi, dall’altra un contenzioso crescente che non aiuta. Gli americani continuano a chiedersi “chi devo chiamare se voglio parlare con l’Europa?” e nella confusione si aggiunge anche la Corte.

Sembra una semplificazione, ma da una parte c’è il tentativo di un compromesso politico, che ha avuto la sua espressione nella decisione di adeguatezza di qualche giorno fa, dall’altra parte c’è un potere giurisdizionale che si sente (giustamente) investito del ruolo di guardiano dei diritti fondamentali europei. Ma questo ruolo di guardiano ce lo avrebbe anche la Commissione, quantomeno la DG Justice. E poi l’Agenzia dei diritti fondamentali. Quindi non c’è un monopolio della tutela dei diritti. E fino a quando non si trova la quadra, è difficile andare a Washington e dire: signori, questa è la nostra posizione. Una visione (quantomeno) bipolare non aiuta né internamente né all’esterno. Non voglio sembrare pessimista o distopico ma finché non risolveremo i nostri problemi sarà difficile negoziare con gli altri.